360数字安全

解决方案

在烟草行业的实际业务场景中，多种知名品牌的PLC等控制设备被验证存在大量的安全漏洞，可通过控制网、管理网间接连接到互联网，此外，多数工业控制系统在安全防护、审计、运维等方面均存在诸多安全隐患。

总体网络安全建设思路为以解决目前烟草生产工业控制系统存在的突出网络安全问题为前提，同时结合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》等进行安全建设规划。

具体建设内容如下：

1

在信息管理网与生产网边界、储丝、掺配、 加香、烘丝等各作业区的PLC前端部署工业 防火墙产品，学习并建立流量安全模型，基 于“白名单”建立访问控制策略，防范针对 核心控制器的攻击行为；

2

在核心交换机上旁路部署工业入侵检测系统和 工业安全监测审计系统，及时发现可能存在的 攻击行为并告警；

3

在各操作员站上部署工业主机安全卫士产品， 防止非烟草生产相关业务未授权软件的使用， 防范 0DAY漏洞的利用及病毒、木马等在工业 主机上运行；

4

对MES服务器、SCADA服务器、数据库服务 器等关键主机进行安全加固，做好权限细化， 防止恶意人员以服务器为跳板，攻击整个生产 网络；

5

在生产网内部署安全运维管理系统，细化运维 人员权限并进行详细记录，在大大降低误操作 的基础上实现有据可查；

6

部署工业安全管理平台，对网络攻击、异常行 为、违规外联、漏洞信息等进行总体把控。

部署方案